Out-of-band release: Kritisches Windows-Sicherheitsupdate
Microsoft wird heute Abend gegen ca.19 Uhr (10 am PST) ein kritisches Sicherheitsupdate veröffentlichen, welches alle unterstützen Versionen von Windows betrifft. Allein die Tatsache, dass die Veröffentlichung out-of-band erfolgt, zeigt, wie kritisch dieser Patch ist.
Code Red, Nimda, Slammer 6 Co. zeigten in der Vergangenheit, wie eine derartige Lücke zum Angriff einlädt. Obwohl die Patches gegen die damals vorhandenen Lücken schon längere Zeit zur Verfügung standen und von Microsoft auf die Dringlichkeit des Einspielens hingewiesen wurde, hatten viele Administratoren die Gefahr nicht erkannt und verpasst, ihre Systeme vor den Angriffen entsprechend zu schützen.
Administratoren sollten sich darauf vorbereiten, diesen Patch schnellstmöglich auszurollen, da die Lücke bei allen aktuell unterstützten Windows-Versionen außer Windows Vista und Windows Server 2008 von unauthentifizieren Angreifern ohne Benutzerinteraktion ausnutzbar ist.
Der Patch wird für Microsoft Windows 2000 SP 4, Windows XP SP 2 & 3 sowie Windows Server 2003 SP 1 & 2 (inkl. x64 Edition und Itanium-basierende Systeme) als kritisch, für Windows Vista Gold & SP 1 (inkl. x64 Edition) sowie Windows Server 2008 (für 32-bit, 64-bit und Itanium-basierende Systeme) als wichtig eingestuft.
Dabei folgen wir einem schon vor Jahren veröffentlichten Rating System. Die Einstufungen bedeuten im Einzelnen:
Critical
A vulnerability whose exploitation could allow the propagation of an Internet worm without user action"
Important
A vulnerability whose exploitation could result in compromise of the confidentiality, integrity, or availability of users data, or of the integrity or availability of processing resources.
Moderate
Exploitability is mitigated to a significant degree by factors such as default configuration, auditing, or difficulty of exploitation.
Low
A vulnerability whose exploitation is extremely difficult, or whose impact is minimal.
Aktuelle Informationen haben wir derzeit auf folgenden Seiten veröffentlicht:
- Advance Notification for Out-of-Band Release auf dem Microsoft Security Response Center (MSRC) Blog
- Microsoft Security Bulletin Advance Notification for October 2008 auf TechNet online